MadMxShell Backdoor
O schemă de publicitate incorectă Google utilizează un grup de site-uri web care imită software-ul de scanare IP legitim pentru a distribui o ușă din spate nou descoperită, numită MadMxShell. Atacatorii au înregistrat numeroase domenii asemănătoare prin typosquatting și folosesc Google Ads pentru a spori aceste site-uri în rezultatele căutării, țintind anumite cuvinte cheie pentru a atrage vizitatori nebănuiți.
Între noiembrie 2023 și martie 2024, în jur de 45 de domenii au fost înregistrate, prefăcându-se a fi diverse software de scanare porturi și management IT, cum ar fi Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG și ManageEngine.
În timp ce tacticile de malvertising au fost folosite înainte pentru a distribui malware prin site-uri web false, acest incident marchează prima instanță în care o astfel de metodă este folosită pentru a răspândi o ușă din spate Windows complexă.
Cuprins
Actorii de amenințări atrag utilizatorii cu site-uri web false să livreze programe malware puternice de tip backdoor
Utilizatorii care caută aceste instrumente sunt direcționați către site-uri web frauduloase care conțin cod JavaScript care declanșează descărcarea unui fișier rău intenționat numit „Advanced-ip-scanner.zip” atunci când se face clic pe butonul de descărcare.
În arhiva ZIP, există două fișiere: „IVIEWERS.dll” și „Advanced-ip-scanner.exe”. Acesta din urmă utilizează încărcarea secundară a DLL pentru a încărca „IVIEWERS.dll” și a iniția procesul de infecție.
Fișierul DLL injectează codul shell încorporat în procesul „Advanced-ip-scanner.exe” folosind o tehnică numită golirea procesului. Ulterior, fișierul EXE injectat despachetează două fișiere suplimentare – „OneDrive.exe” și „Secur32.dll”.
Binarul Microsoft legitim semnat „OneDrive.exe” este exploatat pentru a încărca „Secur32.dll” și a executa backdoor-ul shellcode. În prealabil, malware-ul stabilește persistența pe gazdă prin crearea unei sarcini programate și dezactivând Microsoft Defender Antivirus.
Ușa din spate MadMxShell efectuează numeroase acțiuni amenințătoare
Denumită pentru utilizarea interogărilor DNS MX pentru Command-and-Control (C2), ușa MadMxShell este proiectată pentru a colecta date de sistem, pentru a executa comenzi prin cmd.exe și pentru a efectua operațiuni fundamentale cu fișiere, cum ar fi citirea, scrierea și ștergerea fișierelor.
Pentru a comunica cu serverul său C2 („litterbolo.com”), codifică datele din subdomeniile numelui de domeniu complet (FQDN) în pachetele de interogare DNS mail exchange (MX) și descifrează comenzile încorporate în pachetele de răspuns.
Folosind tactici precum încărcarea laterală a DLL în mai multe etape și tunelul DNS pentru comunicarea C2, ușa din spate își propune să evite măsurile de securitate ale punctelor terminale și ale rețelei. În plus, utilizează metode de evaziune, cum ar fi anti-dumpingul, pentru a împiedica analiza memoriei și a împiedica măsurile de securitate criminalistică.
Actorul amenințător din spatele ușii din spatele MadMxShell are obiective necunoscute
În prezent, nu există indicii definitive cu privire la originea sau intențiile operatorilor de malware. Cu toate acestea, cercetătorii au descoperit două conturi create de ei pe forumuri criminale subterane. Mai exact, acești actori au fost observați participând la discuții care oferă metode pentru a stabili conturi Google AdSense nelimitate încă din iunie 2023, ceea ce sugerează un interes puternic pentru lansarea unei campanii susținute de malvertising.
Conturile și strategiile pentru exploatarea pragurilor Google Ads sunt de obicei schimbate pe forumurile BlackHat. Aceste metode oferă adesea un mijloc pentru actorii amenințărilor de a acumula credite pentru rularea campaniilor Google Ads fără plata imediată, prelungind efectiv durata campaniilor lor. Un prag suficient de ridicat permite actorilor amenințărilor să-și susțină campaniile publicitare pentru o perioadă îndelungată.
